网站的隐形炸弹 eWebEditor文件上传 漏洞补丁
2009年9月4日星期五 | | |eWebEditor文件上传漏洞,代码是:
<%
sAllowExt = Replace(UCase(sAllowExt), "ASP", "")
%>
将这行代码换成了
改为:
<%
sAllowExt = UCase(sAllowExt)
Do While InStr(sAllowExt, "ASP") or InStr(sAllowExt, "CER") or InStr(sAllowExt, "ASA") or InStr(sAllowExt, "CDX") or InStr(sAllowExt, "HTR")
sAllowExt = Replace(sAllowExt, "ASP", "")
sAllowExt = Replace(sAllowExt, "CER", "")
sAllowExt = Replace(sAllowExt, "ASA", "")
sAllowExt = Replace(sAllowExt, "CDX", "")
sAllowExt = Replace(sAllowExt, "HTR", "")
Loop
%>
过滤了ASA等文件的上传,也降低了一点风险吧,请说这么多了,希望对各位有点小用sAllowExt = UCase(sAllowExt)
Do While InStr(sAllowExt, "ASP") or InStr(sAllowExt, "CER") or InStr(sAllowExt, "ASA") or InStr(sAllowExt, "CDX") or InStr(sAllowExt, "HTR")
sAllowExt = Replace(sAllowExt, "ASP", "")
sAllowExt = Replace(sAllowExt, "CER", "")
sAllowExt = Replace(sAllowExt, "ASA", "")
sAllowExt = Replace(sAllowExt, "CDX", "")
sAllowExt = Replace(sAllowExt, "HTR", "")
Loop
%>
我的QQ空间
博文
